UNIVERSIDAD AUTÓNOMA DEL CARMEN
               11.18   La Administración de la U1$&$5 debe diseñar actividades de control para limitar el acceso de los usua-
                  rios a las TIC a través de controles como la asignación de claves de acceso y dispositivos de seguridad para
                  DXWRUL]DFLyQ GH XVXDULRV

               Diseño de la Adquisición, Desarrollo y Mantenimiento de las TIC.
               11.19    La Administración de la U1$&$5 debe diseñar las actividades de control para la adquisición, desarrollo
                  \ PDQWHQLPLHQWR GH ODV 7,& LQFOX\HQGR OD GH¿QLFLyQ GH ORV HVWiQGDUHV \ KHUUDPLHQWDV SDUD HO GHVDUUROOR
                  de sistemas y el manejador de las bases de datos, según considere conveniente a los criterios actuales de
                  WHFQRORJtDV GH LQIRUPDFLyQ  EXVFDQGR VLHPSUH HO PHMRUDPLHQWR FRQWLQXR GH ODV DSOLFDFLRQHV
               11.20    La Administración puede utilizar un modelo de Ciclo de Vida del Desarrollo de Sistemas (CVDS) en el
                  GLVHxR GH ODV DFWLYLGDGHV GH FRQWURO  (O &9'6 SURSRUFLRQD XQD HVWUXFWXUD SDUD XQ QXHYR GLVHxR GH ODV 7,&
                  DO WUD]DU ODV IDVHV HVSHFt¿FDV \ GRFXPHQWDU ORV UHTXLVLWRV  DSUREDFLRQHV \ SXQWRV GH UHYLVLyQ GHQWUR GH ODV
                  DFWLYLGDGHV GH FRQWURO VREUH OD DGTXLVLFLyQ  GHVDUUROOR \ PDQWHQLPLHQWR GH OD WHFQRORJtD
               11.21    La Administración de la U1$&$5 puede adquirir software de TIC, por lo que debe incorporar meto-
                  dologías para esta acción y debe diseñar actividades de control sobre su selección, desarrollo continuo y
                  PDQWHQLPLHQWR  /DV DFWLYLGDGHV GH FRQWURO VREUH HO GHVDUUROOR  PDQWHQLPLHQWR \ FDPELR HQ HO VRIWZDUH GH
                  DSOLFDFLRQHV SUHYLHQHQ OD H[LVWHQFLD GH SURJUDPDV R PRGL¿FDFLRQHV QR DXWRUL]DGRV
               11.22    La contratación de servicios tercerizados por la U1$&$5, para el desarrollo de las TIC es otra alterna-
                  tiva y la Administración también debe evaluar los riesgos que su utilización representa para la seguridad
                  de la información, así como valorar la compatibilidad con la base tecnológica instalada, presentada por los
                  VHUYLFLRV WHUFHUL]DGRV \ RIUHFLGD SRU pVWRV
            12.  Implementar Actividades de Control. La Administración de la U1$&$5 debe poner en operación políticas
                 \ SURFHGLPLHQWRV  ODV FXDOHV GHEHQ HVWDU GRFXPHQWDGDV \ IRUPDOPHQWH HVWDEOHFLGDV
               Documentación y Formalización de Responsabilidades a través de Políticas.

               12.01   La Administración de la U1$&$5 debe documentar, a través de políticas, manuales, lineamientos y otros
                  documentos de naturaleza similar las responsabilidades de control interno en la U1$&$5
               12.02   La Administración de la U1$&$5 debe documentar mediante políticas para cada unidad su respon-
                  sabilidad sobre el cumplimiento de los objetivos de los procesos, de sus riesgos asociados, del diseño de
                  DFWLYLGDGHV GH FRQWURO  GH OD LPSOHPHQWDFLyQ GH ORV FRQWUROHV \ GH VX H¿FDFLD RSHUDWLYD
               12.03    Los empleados de la U1$&$5 TXH RFXSDQ SXHVWRV FODYH SXHGH GH¿QLU FRQ PD\RU DPSOLWXG ODV SROtWLFDV D
                  través de los procedimientos del día a día, dependiendo de la frecuencia del cambio en el entorno operativo
                  \ OD FRPSOHMLGDG GHO SURFHVR RSHUDWLYR  /D $GPLQLVWUDFLyQ GH OD 81$&$5 debe comunicar a los empleados
                  las políticas y procedimientos para que éstos puedan implementar las actividades de control respecto de las
                  UHVSRQVDELOLGDGHV TXH WLHQHQ DVLJQDGDV

               Revisiones Periódicas a las Actividades de Control.

               12.04    La Administración de la U1$&$5 debe revisar periódicamente las políticas, procedimientos y activida-
                  GHV GH FRQWURO DVRFLDGDV SDUD PDQWHQHU OD UHOHYDQFLD \ H¿FDFLD HQ HO ORJUR GH ORV REMHWLYRV R HQ HO HQIUHQ-
                  WDPLHQWR GH VXV ULHVJRV


            Cuarta. Información y Comunicación.
          /D LQIRUPDFLyQ \ FRPXQLFDFLyQ VRQ UHOHYDQWHV SDUD HO ORJUR GH ORV REMHWLYRV LQVWLWXFLRQDOHV  $O UHVSHFWR  OD $GPLQLV-
          tración de la U1$&$5 debe establecer mecanismos que aseguren que la información relevante cuenta con los elementos
          GH FDOLGDG VX¿FLHQWHV \ TXH ORV FDQDOHV GH FRPXQLFDFLyQ WDQWR DO LQWHULRU FRPR DO H[WHULRU VRQ HIHFWLYRV

          La información que los empleados de la U1$&$5 generan, obtienen, utilizan y comunican para respaldar el sistema de
          control interno debe cubrir los requisitos establecidos por la Administración, con la exactitud apropiada, así como con
          OD HVSHFL¿FLGDG UHTXHULGD GHO SHUVRQDO SHUWLQHQWH
          /RV VLVWHPDV GH LQIRUPDFLyQ \ FRPXQLFDFLyQ  GHEHQ GLVHxDUVH H LQVWUXPHQWDUVH EDMR FULWHULRV GH XWLOLGDG  FRQ¿DELOLGDG
          \ RSRUWXQLGDG  DVt FRPR FRQ PHFDQLVPRV GH DFWXDOL]DFLyQ SHUPDQHQWH  GLIXVLyQ H¿FD] SRU PHGLRV HOHFWUyQLFRV \ HQ
          IRUPDWRV VXVFHSWLEOHV GH DSURYHFKDPLHQWR SDUD VX SURFHVDPLHQWR TXH SHUPLWDQ GHWHUPLQDU VL VH HVWiQ FXPSOLHQGR ODV
          PHWDV \ REMHWLYRV LQVWLWXFLRQDOHV FRQ HO XVR H¿FLHQWH GH ORV UHFXUVRV  /D $GPLQLVWUDFLyQ GH OD 81$&$5 requiere tener
          DFFHVR D LQIRUPDFLyQ UHOHYDQWH \ PHFDQLVPRV GH FRPXQLFDFLyQ FRQ¿DEOHV  HQ UHODFLyQ FRQ ORV HYHQWRV LQWHUQRV \ H[-
          ternos que pueden afectar a la U1$&$5

                                                  21